Radius8.1x网络技术协议概述

802.1x网络技术协议概述技术创新，变革未来802.1X的基本概念802.1X的组网常用认证方式的流程1议题802.1x——基本概念2802.1xPAPCHAP指IEEE

802.1x标准密码验证协议（Password

Authentication

Protocol）质询握手验证协议（Challenge

Handshake

AuthenticationProtocol）MD5 消息摘要算法5版本（Message-Digest

Algorithm

5）EAP 扩展验证协议（Extensible

Authentication

ProtocolTLS 传输层安全

(Transport

Layer

Security)PEAP 受保护的EAP（Protected

EAP）PAE 端口认证实体（Port

Authentication

Entity）——缩略语802.1x——基本概念3——概述它起源于802.11协议，后者是标准的无线局域网协议，解决无线局域网用户的接入认证问题。现在已经被应用于一般的有线LAN的接入

。Port-Based

Networks

Access

Control

，

802.1x定义了基于端口的网络接入控制协议。端口：可以是物理端口：Port-Based也可以是逻辑端口：Mac-Based基本思想：通过某种认证机制控制端口的授权状态。认证通过时，端口处于Authorized，用户可以接入。认证未通过，端口处于Unauthorized，用户不能接入。802.1x——基本概念4——概述端口认证实体PAE作用：为与端口相关联的协议实体执行认证相关的算法和协议

。分类：设备端PAE、客户端PAE两种

。客户端PAE：负责响应设备端的认证请求，向设备端提交用户的认证信息，也可以主动向设备端发送认证请求和下线请求

。设备端PAE：利用认证服务器对需要接入设备端提供服务的客户端执行认证，并根据认证结果控制相应的受控端口。设备端PAE和认证服务器可以位于同一个设备，也可以位于两个不同的设备，

IEEE802.1x标准建议设备端PAE和RADIUS服务器位于两个不同的设备。802.1x——基本概念——概述5802.1x——基本概念6——概述802.1x受控端口支持三种认证授权模式：Authorized-force：常开模式端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源。Unauthorized-force：常关模式端口一直维持非授权状态，忽略所有客户端发起的认证请求。Auto：协议控制模式端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源。我司设备命令行显示：[S3924-Just-For-Dot1X-Ethernet1/0/3]dot1xport-control?authorized-force Portauthorized

unconditionallyauto AuthorizedstatuscontrolledbyFiniteStateMachineunauthorized-force Portunauthorized

unconditionally802.1x——基本概念7——概述认证触发方式：标准EAP触发方式：目的组播地址：01-80-c2-00-00-03，客户端主动发EAPOL-start报文仅有eapol-start为组播报文，其他为单播

有线网中减少负载认证报文全部为组播报文

适应于无线DHCP触发方式：采用DHCP报文作为触发设备对用户进行认证的条件只有DHCP

Discover

报文可以触发认证当前用户在线的情况下，不触发认证[S3924-Just-For-Dot1X]dot1x

dhcp-launch(有的设备不支持该命令)802.1x——基本概念8——概述认证触发方式：H3C专有触发方式有些通信设备不能透传上述多播报文广播触发认证方式支持客户端静态IP地址的触发方式(由设备发EAP-Request/Identity触发)设备每隔N秒（默认情况下为30秒）主动向客户端发起认证（）支持Windows

XP在静态IP的情况下也能够进行认证。和DHCP触发方式是互斥的802.1x——基本概念9——概述握手机制（标准协议中没有此机制）设备端采用EAP-Request/Identity报文作为握手请求报文，客户端采用EAP-Response/Identity作为握手应答报文(dot1x

timer

handshake-period)功能：设备端能够检测到用户的异常断线情况提供尽可能精确的用户在线和计费信息在握手期间受控端口保持授权状态，直到握手失败受控端口变为非授权状态由于是非标准协议，导致XP、1xgate(SmartOn)

客户端状态显示不正确，iNode客户端没问题当前设备国内版都支持握手；NEC版本不支持握手802.1x——基本概念EAPOL——EAPRADIUS协议承载的EAP/PAP/CHAP交换客户端PAE设备端PAE认证服务器客户端PAE与设备端PAE之间：利用EAP协议交换认证信息，EAP报文使用EAPOL封装格式，直接承载于LAN环境中。设备端PAE与RADIUS服务器之间：EAP中继方式

（EAP透传,

eap认证方式）：设备端PAE负责客户端和RADIUS服务器之间EAP报文的中继转发EAPOR报文重新封装成EAPOL报文

客户端EAPOL报文重新封装成EAPOR（EAP-Messages）报文

RADIUS服务器中继转发过程中报文中的信息禁止被修改。EAP终结方式：由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送包含PAP协议或CHAP协议属性的报文。(标准的802.1x协议不支持EAP终结PAP认证方式，因为PAP认证传明文密码不安全)10802.1x——基本概念——EAPCodeIdentifierLengthTypeType

DataCode：EAP报文类型1：Request(eap-request)2：

Response (eap-response)3：

Success (eap-success)4：

Failure(eap-failure)11EAP数据包帧格式如下面所示：802.1x——基本概念12CodeIdentifierLengthTypeType

Data——EAPEAP数据包帧格式如下面所示：Identifier：用于将request和response对应起来Length：两个字节，Code，Identifier，Length和DataType:Type域总共分为6个值域Type＝1————IdentifierType＝2————NotificationType＝3————Nak（ResponseOnly）Type＝4————MD5-ChallengeType＝5————One-TimePassword(OTP)Type＝6————GenericToken

CardType＝7———扩展的私有属性（PAP认证请求PAP密码）Type＝10———扩展的私有属性（透传认证过程错误信息或者其他UAM后台传给客户端的信息）802.1x——基本概念——EAPOLEAPOL概念：一种封装技术，EAP

over

LAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。EAPOL帧格式：PAEEthernetType:888eProtocolVersion:1Packet

Type:EAP-PacketEAPOL-StartEAPOL-LogoffEAPOL-KeyEAPOL-Encapsulated-ASF-Alter当为EAP-Packet时，Body为一EAP报文138021x EAPoL报文14802.1x——基本概念15——EAPOREAPOR简介：EAPOR：

EAP

overRADIUS

，用于透传EAP报文。通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持；EAP-Message属性和Message-Authenticator属性和已有的RADIUS属性采用相同的Type-Length-Value三元组，因此，新添属性不会影响RADIUS协议的实现。RADIUS协议：RADIUS协议（Remote

Authentication

Dial

InUser

Service）的扩展，基于UDP协议。RADIUS负责接收设备发送用户连接请求，完成认证和计费RADIUS

协议的认证和记费端口号分别为1812和1813（服务器端监听）802.1x——基本概念16Code：RADIUS报文类型(Access-Request、Access-Accept、Access-Reject、Access-Challenge等)。Identifier：用于匹配Request和ResponseLength：整个报文长度（the

Code,

Identifier,

Length,

Authenticator

andAttribute

fields）。Authenticator：一种保护机制，用于校验RADIUS报文的合法性和密码的加密。Attributes：RADIUS属性，每个属性为TLV格式，可扩展。AthenticatorCodeIdentifierLengthAttribute.

.

.

.

.

.AttributeTypeLengthValue——EAPOR报文格式802.1x——基本概念17Code=1Code=2/3Code=4Code=5Code＝11接入验证请求的报文，接入设备

-->Radius服务器。验证结果的报文，Radius服务器-->接入设备。计费报文(计费开始/计费更新)，接入设备

-->Radius服务器。对收到的计费报文的响应，由Radius服务器-->接入设备。密钥请求和密钥回应报文。Code含义1Access-request2Access-accept3Access-reject4Accouting-request5Accouting-response11Access-challenge——EAPOR报文格式802.1x——基本概念——EAPOR报文格式Type：与EAP相关的属性值分配EAP-MessageMessage-AuthenticatorLength：指明三元组的总长度Value：

属性值存在于RADIUS的1、2、3、11号报文中18802.1x——基本概念19——EAPOR报文格式EAP-Message属性设备端PAE（RADIUS

Clinet)从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性

。Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性，此属性中包含EAP-Success或EAP-Failure

。注意：Accept或Reject报文可以不包含EAP

packet或者含有的不是success或failure，因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态。但是，设备端必须要向客户端发一个EAPSuccess或EAP

Failure报文以通知认证的授权状态。802.1x——基本概念20——EAPOR报文格式Message-Authenticator属性用于保护所有携带EAP-Message属性的Access-Request、Access-Challenge、Access-Accept和Access-Reject报文。如果带有EAP-Message属性的报文中不包含Message-Authenticator属性，该报文必须被丢弃。802.1x——基本概念21——认证方式Dot1x认证方式：PAPCHAPEAP（EAP-MD5、EAP-TLS、PEAP）802.1x——基本概念22——认证方式PAP

（

Password

Authentication

Protocol）标准802.1x不支持EAP终结PAP密码验证协议密码通过可逆加密的方式传输（我司设备与客户端间是明文传输）安全性低客户端PAE设备端PAERADIUS服务器EAP-Response/PasswordRADIUS

Access-Accept(PAP-Success)

RADIUS

Accounting-Request

握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUSAccess-Request(PAP-Response/Password)EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/PasswordRADIUS

Accounting-responseEAP-SuccessPAP23802.1x——基本概念24——认证方式CHAP（ChallengeHandshakeAuthentication

Protocol）质询握手验证协议密码是通过密文方式当用户请求上网时，接入设备)生成一个16字节的随机码（MD5challenge）给用户质询，同时还有一个ID号及接入设备的hostname。客户端得到这个包后，使用自己独用的设备或软件对各域进行加密，生成一个对质询的response传给接入设备。接入设备将用户的response和16字节MD5

challenge随机码发送给认证服务器。认证服务器根据用户名查找，得到和被验证方加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Response作比较，若相同表明验证通过，否则验证失败。CHAP认证时，密码经过了MD5算法加密处理，防止报文被截获。客户端PAE设备端PAERADIUS服务器EAP-Success握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-Response/MD5

ChallengeRADIUSAccess-Request(CHAP-Response/MD5

Challenge)RADIUS

Access-Accept(CHAP-Success)CHAP25802.1x——基本概念——认证方式EAP（ExtensibleAuthentication

Protocol）扩展验证协议，RFC2284

。质询和计算过程交由服务器完成，从一定程度上减轻了设备的负担。EAP

支持多种认证机制：EAP

MD5、

EAP

TLS、

PEAP。26EAP-MD5客户端PAE设备端PAERADIUS服务器EAP-Response/IdentityEAP-Response/MD5

ChallengeEAPOL-StartEAP-Request/IdentityRADIUSAccess-Challenge(EAP-Request/MD5

Challenge)RADIUSAccess-Accept(EAP-Success)握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUSAccess-Request(EAP-Response/Identity)EAP-Request/MD5

ChallengeRADIUSAccess-Request(EAP-Response/MD5

Challenge)EAP-Success27802.1x——基本概念——认证方式EAP-TLS基于用户证书的身份验证相互的身份验证方法传统认证方法：

服务器验证客户端的合法性双向认证：

客户端也要验证服务器的合法性远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书如果其中一个证书未发送或无效，则连接将终断

。28EAP-TLS29802.1x——基本概念30——认证方式PEAPEAP提供了身份验证灵活性，但是整个EAP会话可能被当作明文（未加密）来发送。PEAP首先创建被加密和使用传输层安全（TLS）来进行完整性保护的安全通道，然后进行另一种EAP类型的新的EAP协商，从而对客户端的网络访问尝试进行身份验证。PEAP31PEAP客户端PAE设备端PAERADIUS服务器EAP-Response/PEAPEAPOLRADIUSRADIUS

Access-RequestInThe

TLS-Channel(TLS_client_hello)(EAP-Response/PEAP:TLS_client_hello)RADIUS

Access-AcceptEAP-Request/PEAP:TLS_server_hello,TLScertificate,TLS

Server_key_exchange,TLScertificate_request,

TLSserver_hello_done)EAP-Request/

PEAP(TLSserver_hello,

TLS

certificate,TLSserver_key_exchange,TLScertificate_request,TLSserver_hello_done)EAP-Response/

PEAP(TLSCertificate,TLSclient_key_exchange,TLSchange_cipher_spec,TLS

finished)RADIUS-Access-Request(EAP-Response/

PEAP:TLSCertificate,

TLS

client_key_exchange,TLSchange_cipher_spec,TLS

finished)RADIUS-Access-Challenge(EAP-Request/

PEAP:TLSchange_cipher_spec,

TLS

finished,EAP-Request/EAP-TLV[EAP-Payload-TLV[EAP-Request/

Identity)EAP-Request/

PEAP(TLSchange_cipher_spec,TLSfinished,EAP-Request/EAP-TLV[

EAP-Payload-TLV[EAP-Request/

Identity)EAP-Response/

EAP-TLV([EAP-Payload-TLV[EAP-Response

/Identity]]

)RADIUS-Access-Request32(EAP-Response/

EAP-TLV:[EAP-Payload-TLV[EAP-Response

/Identity]]

)RADIUS-Access-Challenge(EAP-Request/EAP-TLV(Success):Crypto-Binding

TLV,

Intermediate-Result